Si chiama Lazy FP state restore la nuova vulnerabilità che interessa i microprocessori Intel Core e Xeon. Non siamo di fronte a un problema simile a Spectre e Meltdown per gravità, infatti viene indicato come di livello "moderato", ma è comunque un nuovo esempio di come il tema della sicurezza in campo hardware abbia assunto in questi mesi una rilevanza centrale, tanto da indurre Intel a creare un apposito programma di "caccia ai bug" per le vulnerabilità side channel.

In estrema sintesi la falla consente di sottrarre dati sensibili dalle unità matematiche del chip. Malware e malintenzionati con accesso al sistema possono perciò tentare di sfruttare questa falla insita nel progetto dei chip per rubare informazioni e risultati dei calcoli svolti privatamente da altri software.

Queste informazioni, archiviate in registri FPU (floating point unit), potrebbero servire per ottenere parti delle chiavi crittografiche usate per rendere sicuri i dati nel sistema. Per esempio le istruzioni di codifica e decodifica AES di Intel usano i registri FPU per salvare le relative chiavi.

Come scritto in apertura, la vulnerabilità è di livello moderato e richiede la presenza di software maligno sul sistema. Probabilmente i software che usiamo quotidianamente hanno falle ben peggiori, quindi non è necessario allarmarsi troppo. Il fix della falla non richiede come Spectre e Meltdown un aggiornamento del microcode.

Le versioni moderne di Linux (dal kernel 4.9 in poi) e Windows, incluso Server 2016, così come le ultime versioni di OpenSD e DragonflyBSD non sono interessate da questa falla (CVE-2018-3665).

Windows Server 2008 richiederà probabilmente un aggiornamento e così anche altri sistemi operativi precedenti. Il team kernel di Linux sta lavorando per integrare le mitigazioni nei kernel pre-4.9.

La cosa curiosa è che la soluzione al problema richiede il passaggio a un meccanismo chiamato eager FPU state restore, proprio quello che usano le versioni moderne di Linux, Windows e altri kernel, ed è un fix che non comporta problemi per le prestazioni, anzi può aumentarle.

Leggi anche: CPU Intel con fix hardware per Spectre e Meltdown, dettagli

Intel è stata allertata del problema da alcuni ricercatori di sicurezza indipendenti e anche una persona di Amazon. "Il problema, noto come Lazy FP state restore, è molto simile a Spectre Variant 3a. È già stato risolto da anni sui sistemi operativi e software hypervisor usati da molti prodotti client e datacenter. I nostri partner industriali stanno lavorando su aggiornamenti software per risolvere questo problema per gli ambienti ancora coinvolti e ci aspettiamo che questi update arrivino nelle prossime settimane", ha annunciato il colosso di Santa Clara. Al momento non ci sono informazioni circa l'esistenza di codice exploit.

---